安全性如何让客户编辑Handlebar.js模板

Question

我正在构建的Rails应用程序需要允许用户编辑页面模板。

主要关心的是允许客户编辑模板的安全性。这样就可以将erb模板排除在等式之外。

我曾看过液体标记和Handlebars.js。这里有一个很棒的Rails集成，这里的手柄是https://github.com/jamesarosen/handlebars-rails。

我宁愿使用把手。有人可以确认让客户编辑车把模板是否安全吗？

Answer 1

由于Handlebars.js不包含任何需要逃避的Ruby代码 - 是的，它对服务器端是安全的。

由于Handlebars.js（任何其他模板引擎）允许用户更改HTML标记（插入<script>，） - 不，这不是对客户端安全的（除非你有一些额外的消毒）